SSL-Zertifikate verwenden meistens RSA-Schlüssel und die empfohlene Schlüssellänge wächst stetig (z.B. vor einigen Jahren von 1024 Bit auf 2048 Bit), um eine ausreichende Verschlüsselungsstärke zu garantieren. Eine Alternative zu RSA ist ECC. Beide Schlüsseltypen verfügen über dieselbe wichtige Eigenschaft: Sie sind asymmetrische Algorithmen. Das heißt, es gibt jeweils einen Schlüssel zum Verschlüsseln und einen zum Entschlüsseln. ECC hat allerdings einen Vorteil: Der Schlüssel bietet dieselbe Verschlüsselungsstärke auch für niedrigere Schlüssellängen und damit zugleich mehr Sicherheit auch wenn nicht so viel Rechnerleistung zur Verfügung steht.
Was genau ist ECC und warum sollte man diesen Schlüssel verwenden?
Was ist ECC?
ECC steht für Elliptic Curve Cryptography (Elliptische-Kurven-Kryptographie) und ist ein Ansatz zur Kryptographie mit öffentlichen Schlüsseln auf der Basis elliptischer Kurven über endlichen Körpern (hier finden Sie eine ganze Reihe lesenswerter Posts zur zugrundeliegenden Mathematik).
Inwiefern lässt sich ECC mit RSA vergleichen?
ECC und RSA unterscheiden sich vor allem in der Schlüssellänge im Vergleich zur Verschlüsselungsstärke.
Wie Sie der obigen Tabelle entnehmen können, liefert ECC die gleiche Verschlüsselungsstärke wie ein RSA-basiertes System auch für kürzere Schlüssellängen. Zum Beispiel entspricht ein ECC-Schlüssel mit 256 Bit einem RSA-Schlüssel mit 3072-Bit (was 50% länger ist als die heute üblicherweise verwendeten Schlüssel mit 2048 Bit). Die neuesten von TLS verwendeten symmetrischen Algorithmen (z.B. AES), die als die derzeit sichersten gelten, verwenden Schlüssel mit mindestens 128 Bit. Es macht also Sinn, dass asymmetrische Schlüssel zumindest diesen Sicherheitslevel bieten.
Warum ECC verwenden?
Die Schlüssellängen machen ECC attraktiv für Geräte mit begrenzter Speicher- oder Prozessorleistung. Und davon gibt es so einige im Internet der Dinge.
Geht es um herkömmliche Webserver-Applikationen kann man mit diesen Schlüssellängen die SSL-Handshakes schneller durchführen. Das hat zwei Vorteile: Zum einen schnellere Ladezeiten und zum anderen mehr Sicherheit.
ECC für SSL-Zertifikate nutzen
GlobalSign bietet beispielsweise ECC für alle SSL-Zertifikate an. Will man ein ECC-SSL-Zertifikat bestellen oder ein vorhandenes SSL-Zertifikat über das kostenfreie Self-Service-Verfahren neu ausstellen und ersetzen, muss man lediglich eine ECC CSR generieren und in den betreffenden Auftrag einfügen.
Mehr Informationen dazu wie Sie eine ECC CSR generieren und eine Liste von Browsern und Servern, die ECC unterstützen, finden Sie auf unserer Support-Seite. Außerdem erfahren Sie mehr zum Thema in unserem Webinar.